Máy chủ và những hiệp ƣớc liên kết

Một phần của tài liệu (LUẬN văn THẠC sĩ) các lừa đảo trên mạng máy tính và cách phòng tránh (Trang 57 - 59)

Chƣơng 3 PHƢƠNG PHÁP PHÒNG TRÁNH LỪA ĐẢO GIẢ DẠNG

3.2. PHÍA MÁY CHỦ

3.2.5. Máy chủ và những hiệp ƣớc liên kết

Số lƣợng lớn các cuộc tấn công lừa đảo tận dụng sự nhầm lẫn bị gây ra bởi tổ chức sử dụng tên phức tạp với các dịch vụ lƣu trữ-host và các URL không thể đọc đƣợc (chẳng hạn nhƣ các tên miền đầy đủ). Hầu hết khách hàng đều không hiểu về kỹ thuật và dễ dàng bị choáng ngợp với những thông tin dài và phức tạp đƣợc trình bày trong các URLs "theo sau các liên kết này".

Bất cứ ở đâu cũng có thể xảy ra các cuộc tấn công lừa đảo này, nên các tổ chức cần phải:

• Luôn luôn sử dụng domain có cùng nguồn gốc. Ví dụ nhƣ:

http://www.mybank.com/ebank thay cho http://www.mybank-ebank.com

http://www.mybank.com/UK thay cho http://uk.mybank.com

https://secure.mybank.com thay cho https://www.secure-mybank.com

 Tự động chuyển hƣớng các tên domain đƣợc đăng ký trong khu vực hoặc trong các khu vực khác tới các domain chính của công ty. Ví dụ nhƣ:

http://www.mybank.co.uk chuyển hƣớng tới http://www.mybank.com/UK

https://secure.mybank.com.auchuyển hƣớng tới https://secure.mybank.com/AU

http://www.mybank-investor.dechuyển hƣớng tới

http://www.mybank.com/DE/Investor

 Sử dụng các tên máy chủ-host mà đại diện cho tính chất ứng dụng dựa trên web. Ví dụ nhƣ:

https://secure.mybank.com thay cho https://www.mybank.com

http://invest.mybank.com thay cho http://www.InvestorAtMyBank.com

 Luôn luôn sử dụng URL đơn giản nhất hay các máy chủ có thể lƣu trữ tên. Ví dụ nhƣ:

https://secure.mybank.com thay cho https://www.mybank.com/secureinvestor

http://news.mybank.com/UKthay cho

http://www.mybank.co.uk/onlinebanking/changes/news

 Sử dụng sự chuyển đổi địa chỉ và công nghệ cân bằng tải để tránh sử dụng của các máy chủ đƣợc đánh số. Ví dụ nhƣ:

http://www.mybank.com thay cho http://www3.mybank.com

 Không bao giờ giữ thông tin về phiên giao dịch trong 1 dạng URL. Ví dụ, không đƣợc làm nhƣ sau:

http://www.mybank.com/ebanking/transfers/doit.aspx?funds=34000&agent=k elly02&sessionid=898939289834

Thay vào đó, hãy giữ các URL càng sạch càng tốt và quản lý các thông tin mở rộng thông qua các kỹ thuật quản lý phiên phía máy chủ phù hợp (đƣợc ƣu tiên), hoặc giữ các dữ liệu trong lĩnh vực ẩn của các tài liệu HTML và chỉ sử dụng các lệnh HTTP POST (ít đƣợc ƣa thích).

3.2.5.1. Ưu điểm

1) Dễ áp dụng

Việc áp dụng một quy ƣớc đặt tên mạnh mẽ và đơn giản cho máy chủ và đặt tên URL là một quá trình đơn giản. Nó có thể đƣợc áp dụng một cách nhanh chóng.

2) Xác định hữu hình

Một quy ƣớc đặt tên đơn giản để dễ dàng hơn cho khách hàng phát hiện các đƣờng dẫn (link) lừa đảo và hiểu đƣợc đích đến trang của chúng.

3) Dễ dàng để giải thích

Các tổ chức có thể giải thích khá đơn giản về quy ƣớc đặt tên của họ, và đƣa ra lời khuyên có ý nghĩa trong việc xác định và báo cáo các liên kết độc hại.

3.2.5.2. Nhược điểm

Sửa đổi ứng dụng: Một số các ứng dụng phức tạp với các tên máy chủ đƣợc mã

hóa cứng có thể đƣợc yêu cầu cập nhật.

Một phần của tài liệu (LUẬN văn THẠC sĩ) các lừa đảo trên mạng máy tính và cách phòng tránh (Trang 57 - 59)

Tải bản đầy đủ (PDF)

(84 trang)